Achetez mon Zero Trust, il est beau mon Zero Trust !
Inondant les plaquettes publicitaires et faisant le buzz sur les salons ces dernières années, le Zero Trust est-il encore une mode farfelue ou apporte-t-il vraiment quelque chose ?
L’approche Zero Trust, imaginée par John Kindervag [1] il y a plus de dix ans déjà ! Peut-être que sans le savoir, vous faites déjà du Zero Trust depuis plusieurs années. Bon, si votre SIH se « limite » à un réseau interne avec vos serveurs, postes clients, dispositifs médicaux et GTC, une DMZ pour vos machines exposées sur Internet et un pare-feu entre les deux, on peut dire que votre approche a une bonne trentaine d’années de retard ! Vous avez mis en place des VLANs routés par vos cœurs de réseau ? Vous ne savez pas ce que sont des ACL ? Vous avez toujours vos trente ans de retard… Rien d’incurable, mais votre SI de santé risque d’être très malade si un attaquant déboule sur le réseau.
Zero Trust est le digne héritier du principe de « Dé-périmétrisation » [2] initié par Jon Measham et le Jericho Forum [3]. Il se résume assez simplement :
- je ne fais pas confiance à mes réseaux internes
- je ne fais pas confiance à mes terminaux
- je ne fais pas confiance à mes utilisateurs
Par conséquent, je dois appliquer les mêmes règles de sécurité à mes réseaux internes, que j’applique à mes machines exposées sur Internet.
Autant dire que quand un éditeur bien connu arrive avec sa procédure d’installation pour une application médicale vendue en 2021 en vous disant, pour une connexion sur un réseau interne, pas besoin de chiffrer les flux : connexion HTTP à l’application, interconnexion LDAP avec votre annuaire, échange de fichiers via FTP et envoi de messages via SMTP, il est à l’opposé du Zero Trust… du coup, adoptez la démarche Zero Trust et adaptez-là à la vraie vie ! Ne lui faites pas confiance !
Quand on pense qu’on impose des certifications HAS à nos établissements de santé et qu’on laisse des éditeurs leur vendre à prix d’or de telles cochonneries… Comment avoir confiance dans ce « Kaa » ? Voilà pourquoi nous sommes, allons ou devons tous devenir, des aficionados du Zero Trust.
Micro-segmentation, filtrage, chiffrement et supervision des flux, limitation au strict nécessaire des droits et accès, bastions d’administration, authentification multi facteurs, sandboxing, sont des exemples d’actions qui pourront grandement nous aider dans cette démarche. Bien sûr, l’achat de solutions matérielles et logicielles seront nécessaires dans certains cas, mais sortir le carnet de chèques ne vous permettra pas forcément de sécuriser votre SI. Si vous n’avez jamais appris à conduire, même en achetant une formule 1, vous ne deviendrez pas pilote de course...
[1]
[2]
[3]
Avez-vous apprécié ce contenu ?
A lire également.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...